LINUX---系统日志管理
#####系统日志#####
##1.系统日志类型##
1)系统的日志一般存在于/var/log 目录中
/var/log/messages ##大多数系统日志信息记录在此处
/var/log/secure ##安全和身份认证相关的信息的日志
/var/log/maillog ##系统邮件服务信息的日志
/var/log/cron ##系统定时任务信息的日志
/var/log/boot.log ##系统启动的日志
2)指定日志采集路径
/var/log/file 根据日志采集规则,可以指定日志的类型,类别
日志类型分为:
auth ##pam 产生的日志
authpriv ##ssh,ftp 等登录信息的验证信息
cron ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)-rsyslog ##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to unix copy,unix 主机之间相关的通讯
local 1~7 ##自定义的日志设备
日志级别分为:
debug ##有调试信息的,日志信息最多
info ##一般信息的日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等严重信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少
##2.rsyslog 服务##
rsyslog 是一个开源工具,被广泛用于Linux系统以 TCP/UDP 协议转发或接收日志消息
此服务是用来采集系统日志的,它不产生日志,只是起到采集作用
主配置文件为 /etc/rsyslog.conf ,指定日志保存位置修改配置文件,修改后重启 rsyslog 服务生效
##3.远程日志同步##
日志发送方:
vim /etc/rsyslog.conf
*.* @日志接受方ip ##(“@”表示udp协议发送 “@@”表示tcp协议发送)
systemctl restart rsyslog ##重启服务
日志接收方:
vim /etc/rsylog.conf
15 $ModLoad imudp ##加载日志接收功能模块
16 $UDPServerRun 514 ##加载日志接收接口
systemctl restsrt rsyslog ##重启服务
systemctl stop firewalld ##关闭火墙
systemctl disable firewalld ##设定火墙开机关闭
测试:
在发送方和接受方都清空日志文件
> /var/log/messages
在日志发送方:
logger text
cat /var/log/messages ##查看日志已经生成
在日志接受方查看
cat /var/log/messages
##4.日志的采集格式##
vim /etc/rsyslog.conf
%timegenerated% ##显示日志时间
%FROMHOST-IP% ##显示主机ip
%syslogtag% ##日志记录目标
%msg% ##日志内容
\n ##换行
##5.时间同步服务##
服务名称:chronyd
在服务端:
yum install chrony -y ##安装服务
vim /etc/chrony.conf ##主配置文件
22 allow 172.25.254.0/24 ##允许哪些客户来同步本机的时间
29 local stratum 10 ##本机不同任何主机的时间,本机作为时间源
systemctl restart chronyd ##重启服务
在客户端:
vim /etc/chrony.conf
server 172.25.254.167 iburst ##本机立即同步167主机的时间
systemctl restart chronyd ##重启服务
测试:
在客户端:chronyc sources -v
##6.timedatectl命令##
timedatectl ##管理时间系统
timedatectl status ##显示当前时间信息
set-time ##设定当前时间
set-timezone ##设定当前时区
set-local-rtc 0 | 1 ##设定是否使用utc时间
list-timezoe ##查看支持的所有时区
##7.journalctl服务##
1)journalctl 命令
journalctl ##日志查看工具
journalctl -n 3 ##查看最近生成的3条日志
journalctl -p err ##查看系统报错
journalctl -o verbose ##查看日志的详细参数
_UID ##进程uid
_PID ##进程id
_GID ##进程gid
_COMM ##命令名称
journalctl --since ##查看从什么时间开始的日志
journalctl --until ##查看到什么时间为止的日志
2)如何使用systemd-journalctl保存系统日志
默认情况下,systemd-journald是不保存系统日志到硬盘的,那么关机后再次启动就无法查看关机之前的日志,
那如果将日志保存在 /var/log/journal 目录,这样做的优点是启动后就可以利用历史数据,形成永久日志。
实现步骤:
mkdir /var/log/journal
chgrp systemctl-journal /var/log/journal
chmod g+s /var/log/journal
killall -1 systemd-journald
ls /var/log/journal
